Cadeia De Suprimentos: Seu Fornecedor Lhe Passa Segurança?

Cadeia De Suprimentos: Seu Fornecedor Lhe Passa Segurança?

Você já parou para pensar quantos parceiros você possui para manter o seu empreendimento funcionando? É o que chamamos de cadeia de suprimentos. Talvez você utilize um provedor de infraestrutura (hospedagem ou em nuvem); softwares-como-serviço (SaaS) ou até mesmo compartilhe dados de seus consumidores com terceiros, incluindo escritórios de contabilidade ou de inteligência de mercado.

Um erro muito comum dos empreendedores é preocupar-se apenas com a segurança da sua própria empresa. Porém, pare e pense: e se um de seus parceiros for vítima de um ataque cibernético? E se as informações dos seus clientes acabarem expostas? E se um incidente em seu provedor de infraestrutura apagar toda a sua base de dados? Acredite ou não, mas esse tipo de episódio é mais frequente do que você imagina.

Recentemente, uma fornecedora multinacional de serviços de TI teve um de seus softwares comprometidos por agentes maliciosos, e, como resultado, milhares de seus clientes foram expostos a uma campanha de espionagem. É o que chamamos de ataque de cadeia de suprimentos — o atacante mira no elo mais fraco para chegar até o seu empreendimento. Eis a importância de escolher bem quais serão os seus parceiros nessa jornada.

Quando o assunto é infraestrutura, os fornecedores costumam trabalhar com aquilo que chamamos de responsabilidade compartilhada — ou seja, incidentes ocorridos no fornecedor são de responsabilidade dele. Porém, incidentes ocorridos por negligência da empresa (incluindo má-configurações que acabam expondo dados indevidamente na web) ainda são de sua responsabilidade. Logo, de nada adianta culpá-los.

Alguns setores econômicos costumam ter regras bem rígidas em relação à contratação de parceiros e fornecedores. A área bancária é um ótimo exemplo disso. Mesmo se você atuar em um segmento diferente, é importante se atentar a alguns detalhes: qual é a política de responsabilidade do parceiro? Ele também adota medidas adequadas de segurança cibernética? Ele está em conformidade com leis de proteção de dados? Há um histórico de incidentes cibernéticos?

Realizar esse tipo de auditoria é crucial para que você não tenha dores de cabeça com terceiros. Pouco adianta investir em segurança em sua própria empresa caso algum parceiro ou fornecedor não faça o mesmo. Por isso, pesquise bem e pense bem antes de escolher quem trabalhará ao seu lado.

Fonte: Moura TI